Jakie uprawnienia / zasady dla roli IAM mają być używane ze skryptem monitorowania CloudWatch

Za pomocą skryptu monitorowania CloudWatch (mon-put-instance-data.pl) można podać nazwę roli IAM, aby podać poświadczenia AWS (--aws-iam-role = WARTOŚĆ).

Tworzę w tym celu rolę IAM (aby uruchomić mon-put-instance-data.pl na instancji AWS), ale jakie uprawnienia / zasady powinienem nadać tej roli?

Dziękuję za pomoc

Amazon CloudWatch Monitorowanie skryptów dla systemu Linux składają się z dwóch skryptów Perl, zarówno przy użyciu jednego modułu Perl - krótkie zerknięcie do źródła ujawnia wykorzystywane następujące działania API AWS:

• CloudWatchClient.pm- DescribeTags
• mon-get-instance-stats.pl- GetMetricStatistics , ListMetrics
• mon-put-instance-data.pl- PutMetricData

Dzięki tym informacjom możesz złożyć swoją polisę IAM , np. Za pomocą generatora polis AWS - ogólna polityka obejmowałaby:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricData",
        "ec2:DescribeTags"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Oczywiście możesz upuścić cloudwatch:GetMetricStatistics cloudwatch:ListMetricspodczas korzystania mon-put-instance-data.pl- pamiętaj, że nie przetestowałem jeszcze kodu.

Powyższe zasady zawierają błąd z pytaniem o wersję.

Następujące powinny działać:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1426849513000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:PutMetricData",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Istnieje polityka IAM zapewniona przez Amazon dla CloudWatch. Nie musisz budować własnego. CloudWatchFullAccess